ゲートウェイからエンドポイントまで、包括的セキュリティを提供するチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point® Software Technologies Ltd. NASDAQ: CHKP)は、市場をリードするドローン・プラットフォームに脆弱性を発見しました。当社の研究者と、民生用ドローンおよび空中ディスプレイ技術の世界的リーダーであるDJIは、DJIが悪用された場合、そのインフラストラクチャに影響するおそれのある脆弱性の情報を公開しました。

チェック・ポイントの研究者は、DJIのバグ報奨プログラムの規定に従って提出したレポートにおいて、同社のユーザ・アカウントへの不正アクセスを可能にする攻撃手順を報告しました。この手順では、同社が運営するオンライン・フォーラムDJI Forumのユーザ識別プロセスに存在する脆弱性を悪用します。同社のプラットフォームでは、顧客サービスの複数の場面で登録ユーザの識別にトークンを使っており、このトークンがアカウントへの不正アクセスに悪用される可能性があります。

写真、動画、フライト・ログを含むドローンの飛行記録をDJIのクラウド・サーバに同期していた個人ユーザと、ライブ・カメラ、録音、マップ・ビュー機能を搭載するDJI FlightHubソフトウェアを使用していた法人ユーザは、この脆弱性の影響を受けた可能性があります。ただし、問題の脆弱性はすでに修正されており、これまでに悪用された証拠も見つかっていません。

DJIのバイスプレジデント兼北米担当カントリー・マネージャを務めるマリオ・レベロ(Mario Rebello)氏は、「チェック・ポイントの研究者による、深刻な脆弱性について責任ある開示手法に則った問題報告に感謝しています。これこそ、まさに弊社がバグ報奨プログラムを策定した理由です。テクノロジー企業は、例外なく、サイバー・セキュリティの強化は終わりのない継続的なプロセスであることを理解しています。弊社にとって、ユーザ情報の保護は最優先事項です。そのため、チェック・ポイントのような責任あるセキュリティ研究者との継続的な共同作業に積極的に取り組んでいます」と述べています。

チェック・ポイントの製品脆弱性調査担当責任者であるオーデッド・ヴァヌヌ(Oded Vanunu)は、「DJIのドローンのように、広く利用されている製品に関連する脆弱性は、迅速かつ確実に対処されなければなりません。同社がまさにそのように対応してくださったことに感謝申し上げたいと思います。今回明らかになったように、重要情報が複数のプラットフォームで利用されている場合、1つのプラットフォームで流出しただけで、インフラストラクチャ全体が侵害される可能性があるため、このようなシステムを運用する組織は注意が必要です」と述べています。

チェック・ポイントのレポートを確認したDJIのエンジニアは、バグ報奨プログラムの規定に従い、問題の脆弱性を「高リスク/低確率」と評価しました。確率が低いのは、悪用のためには一定の条件を満たす必要があるからです。DJIのユーザは、常に最新版のパイロット・アプリ「DJI GO」または「DJI GO 4」を使用するようにしてください。

DJIのユーザに限らず、すべてのユーザに対しては、オンラインで情報をやり取りする際、警戒を怠らないように助言します。他のユーザとやり取りする際は、安全なオンライン活動のための注意事項に従い、ユーザ・フォーラムやWebサイト上のリンクを安易にクリックしないようにしてください。

本脆弱性の詳細な技術分析については、Check Point Researchのブログをご覧ください。
https://research.checkpoint.com/dji-drone-vulnerability/

 

本ブログは、米国時間11月8日に配信されたものの抄訳です。
英文オリジナルはこちらをご確認ください。
https://blog.checkpoint.com/2018/11/08/the-spy-drone-in-your-cloud/